Neignorujte provozní rizika svého týmu kybernetické bezpečnosti
Většina diskusí o bezpečnosti je rámována kolem hrozeb. Mluví se o phishingu, ransomwaru, útocích řízených umělou inteligencí, vnitřních hrozbách a podobně. ...
Efektivní zjišťování dat je nezbytné pro účinné zabezpečení dat a zásadní součástí zjišťování je přehled. I když máte zavedeny vynikající metody zjišťování, jste ohroženi do té míry, že je neuplatňujete ve všech částech organizace.
Skrytá data jsou všude a je na vás jako na vedoucím pracovníku v oblasti zabezpečení, abyste zajistili přehled o celé digitální stopě vaší společnosti. Jedině tak skutečně zajistíte bezpečnost dat a aktiv.
Stínové IT, ještě důležitější v době umělé inteligence
Každý nový zaměstnanec představuje další riziko, pokud není řádně zapojen do protokolů organizace pro úkoly související s IT. Nedostatečné školení týkající se toho, co zaměstnanec může a nemůže sdílet, otevírá dveře riziku. Výsledkem je stínové IT, které může být pro organizace významným rizikovým faktorem.
Stínové IT může být tak nevinné, jako je přidání aplikace třetí strany, která pomáhá se sociálními médii, nebo spouštění hlasových záznamů prostřednictvím cloudového webu pro přepis hlasu, který uchovává data - minové pole pro společnosti ve vysoce regulovaných odvětvích.
V případě umělé inteligence je toto riziko mnohem naléhavější. Ať už se jedná o jednorázovou konverzaci s chatbotem s umělou inteligencí, nebo o rozsáhlejší integraci, v případě umělé inteligence existuje obrovské riziko pro data. Pouhé používání ChatGPT může společnosti uvrhnout do nesouladu s předpisy o ochraně osobních údajů, zejména dokud je v platnosti stávající soudní příkaz, který nařizuje OpenAI uchovávat každou konverzaci se zákazníkem. Pokud jde o integrovanější partnerství, společnosti využívající kódovací agenty AI riskují, že důvěrný, proprietární kód bude sdílen s třetími stranami.
Zaměstnanci nemusí vědět, co by mělo a nemělo být umělé inteligenci prozrazeno, zejména pokud využití zahrnuje nahrávání klíčových dokumentů nebo integraci databází v rámci rozsáhlejších iniciativ. Zavedení technických ochranných opatření je nezbytné, aby zaměstnanci nespadli do pasti a nemysleli si, že sdílení s AI je v pořádku "jen pro tentokrát" nebo "jen pro tuto malou neškodnou informaci".
Správa stínového IT, zejména s nástupem UI, může být výzvou. Není reálné jej zcela eliminovat, a jak říká technický ředitel společnosti Safetica Zbyněk Sopuch, "stínové IT vzniká z potřeby zaměstnanců po pohodlí, agilitě a moderních nástrojích".
Téměř všechny významné společnosti přidaly do svých produktů funkce AI, což znamená, že AI je nyní k dispozici v mnoha službách, které budou zaměstnanci potřebovat legálně používat. Společnosti mohou také stát v čele organizačních iniciativ, které začlení AI do více oddělení.
Všechny tyto scénáře, ať už velké nebo malé, zvyšují úroveň rizika pro data společnosti, a proto je stanovení politiky a rámce organizace v oblasti AI ještě důležitější než budování ochranných opatření.
Rámec AI společnosti by měl definovat, jaké použití je přijatelné a jaké ne. Měl by také pomoci uživatelům pochopit veškerá rizika spojená i se zdánlivě neškodným používáním a také to, které služby mohou mít integrovanou AI.
Sopuch doporučuje, že pokud jde o AI, "organizace by se měly zaměřit na bezpečné umožnění, poskytování "bezpečných k vyzkoušení" sandboxů a jasných datových hranic, které týmům umožní zkoumat nové technologie, aniž by došlo k odhalení kritických systémů."Zajištěním viditelnosti, důvěryhodnosti a definovaných eskalačních cest mohou organizace skutečně využít stínové IT ve svůj prospěch a proměnit je "z bezpečnostního rizika ve strukturovanou cestu pro inovace, která vyvažuje kreativitu a kontrolu".
Realita moderního pracovního prostředí
Lidé už nepracují na jednom místě jako dříve. Během jediného dne zaměstnanci přeskakují mezi zařízeními, místy a sítěmi.
Citlivá data je všude provázejí.
Patří sem i BYOD (bring-your-own-device), ale jde to ještě dál, protože různorodá pracovní prostředí se pro organizace stala normou. Problém je v tom, zda má vaše společnost dostatečný přehled o datech, aby mohla monitorovat používání více zařízení. To platí bez ohledu na to, zda zařízení patří zaměstnanci nebo firmě.
Zásady BYOD přišly do módy s rozšířením používání chytrých telefonů v pracovním prostředí a s přechodem na cloud. Celosvětová pandemie COVID situaci urychlila, protože práce na dálku se na mnoha místech stala normou a BYOD se stalo de facto praxí.
Řešení, nástroje a procesy, které usnadňují viditelnost, správu a bezpečné datové postupy, obvykle nelze umístit do osobních zařízení. A i kdyby ano, nástroje, jako je správa mobilních zařízení (MDM) a podobná řešení, jsou velmi invazivní a obvykle odebírají kontrolu vlastnictví zaměstnanci a přesouvají ji na zaměstnavatele. Zaměstnanci se tomu přirozeně brání.
Je také nereálné očekávat, že zaměstnanci budou přistupovat k pracovním zdrojům pouze ze zařízení určených pouze pro firmu, a zároveň očekávat, že budou "neustále zapnutá", jak se v naší propojené době často děje. Požadavky na "rychlé nahlédnutí do tohoto e-mailu" a podobně mohou být zcela zastaveny, pokud se zaměstnanec nemůže přihlásit ke svému pracovnímu e-mailu nebo portálu z ničeho jiného než ze sankcionovaného, správně zajištěného pracovního zařízení.
Jako vedoucí pracovník v oblasti bezpečnosti nemůžete kontrolovat zařízení, která nepatří firmě, ať už se jedná o zařízení patřící zaměstnanci, veřejný počítač v knihovně nebo zařízení zaměstnavatele připojené k veřejné síti Wi-Fi. Místo toho se vedoucí pracovníci musí zaměřit na zajištění přehledu o tom, kdy a jak se zaměstnanci připojují k čemukoli, co je spojeno s vaší organizací, a také na přehled o samotných datech. Tímto způsobem můžete monitorovat a chránit svá data bez ohledu na používané zařízení.
Rizikatřetích stran
Rizika třetích stran jsou stále přítomnou realitou a měla by být součástí vaší strategie viditelnosti a správy. Tato rizika mohou mít podobu poskytovatelů SaaS, poskytovatelů cloudových služeb, závislostí na vývoji softwaru nebo outsourcingu podniku.
Viditelnost třetích stran se týká způsobu, jakým třetí strany interagují s aktivy, daty, integracemi a dalšími prvky vaší organizace a jak se k nim připojují. V jistém smyslu by se dala považovat za formu stínového IT, ale je dostatečně významná na to, abychom si jí všimli samostatně.
Příběhů o únicích dat souvisejících s třetími stranami je mnoho, například útok na dodavatelský řetězec společnosti SolarWinds v letech 2019/2020, který vedl k instalaci škodlivého softwaru v 18 000 organizacích, včetně federálních ministerstev a několika společností z žebříčku Fortune 500. Výsledné narušení bylo popsáno jako "nejzávažnější kybernetický průnik v historii [Spojených států]".
K narušení bezpečnosti ve společnosti Capital One v roce 2019, jehož výsledkem bylo 100 milionů ukradených žádostí o úvěr, došlo kvůli špatně nakonfigurovanému serveru AWS.
Zranitelnost v logovacím nástroji třetí strany s názvem Log4j měla v roce 2019 za následek napadení stovek milionů počítačů, což přimělo německého spolkového ministra pro informační bezpečnost označit tuto hrozbu nejvyšším stupněm ohrožení.
K řešení rizik třetích stran potřebují společnosti získat přehled o tom, jak tyto třetí strany interagují s jejich systémy a společnostmi. Ačkoli v ideálním stavu by vedoucí pracovníci v oblasti zabezpečení měli spolupracovat pouze s renomovanými společnostmi třetích stran, které nepředstavují žádné riziko, je tvrdým faktem, že zranitelnosti budou existovat vždy a že neexistuje nic takového jako software odolný proti hackerům. Díky přehledu o třetích stranách a jejich aplikacích můžete rychle posoudit, zda tyto strany nemají přístup k více informacím, než nezbytně potřebují.
Například známý hackerský útok na MoveIt mohl být do značné míry zmírněn, kdyby organizace před přenosem svých dat tato data zašifrovaly. Jednoduchá strategie šifrování veřejného a soukromého klíče by hackerům znemožnila používat ukradená data. Viditelnost nešifrovaných dat v klidovém stavu by vedoucím pracovníkům v oblasti zabezpečení umožnila nahlédnout do této rizikové expozice dříve, než by se z ní stal problém.
Podpůrné služby třetích stran, například externí technická podpora, mohly také zvýšit oprávnění ve vaší síti. Provedení auditu, které subjekty mají zvýšená oprávnění a nadměrný přístup k datům a které je skutečně potřebují, je tedy zásadní.
Viditelnost je pro komplexní ochranu dat zásadní
Vědět, kam se dívat, je stejně důležité jako vědět, jak se dívat, pokud jde o zabezpečení a zjišťování dat. Výše uvedené body jsou velmi časté, ale také zcela řešitelné.
"Zlepšení viditelnosti nad nevlastněnými kanály vyžaduje správnou kombinaci technologií, zásad a neustálého vzdělávání zaměstnanců," říká Sopuch. "Řešení, jako je prevence ztráty dat (DLP) a cloudové nebo virtuální pracovní prostory, pomáhají oddělit osobní a pracovní prostředí a udržet firemní data chráněná i v systémech vlastněných zaměstnanci nebo systémy třetích stran. V kombinaci s informovaností uživatelů, průběžným monitorováním a jasnou správou poskytují tato opatření jak bezpečnost, tak pohodlí a zajišťují přehled, aniž by omezovala produktivitu."
ZbyněkSopuch, technický ředitel společnosti Asafetida
Tím, že zajistíte plán, který přinese přehled o stínovém IT, více zařízeních a rizicích třetích stran, můžete podniknout kroky k tomu, aby vaše strategie prevence ztráty dat (DLP) a zabezpečení dat byla spolehlivější.
Jiná věc je, jak takový přehled získat. Můžete se rozhodnout pro více nástrojů, které zvyšují složitost, nebo pro jediný nástroj, jako je komplexní řešeníSafetica pro zjišťování a klasifikaci dat. Sopuch však doporučuje považovat viditelnost nad nevlastněnými kanály spíše za strategickou záležitost než za něco, čemu je třeba se co nejvíce vyhnout.
"Místo toho, aby se organizace tomuto trendu bránily, měly by se zaměřit na to, aby byl bezpečný provoz stejně pohodlný," říká. "Cloudové služby, webové aplikace a tencí nebo virtuální klienti umožňují uživatelům bezpečně pracovat z jakéhokoli zařízení a zároveň udržovat firemní data ve spravovaném a kontrolovaném prostředí."
ZbyněkSopuch, technický ředitel společnosti Safetica
Ať už děláte cokoli, je důležité si uvědomit, že plné zabezpečení přesahuje aktivní detekci hrozeb a rozšiřuje se o získání přehledu o datech, ať už jsou kdekoli.